استفاده مهاجمان از آسیبپذیری روز-صفرم اینترنت اکسپلورر برای دوری از محققان امنیتی
یکی از آسیبپذیریهای روز-صفرم اینترنت اکسپلورر که سهشنبهی هفته گذشته وصله شد در پویشهای تبلیغاتی مورد استفاده قرار گرفته و به مهاجمان کمک میکند تا از تحلیلهای خودکار و محققان امنیتی دوری کنند.
این ماه مایکروسافت کلاً ۴ آسیبپذیری روز-صفرم را معرفی کرد که شامل یک مشکل افشای اطلاعات در اینترنت اکسپلورر (CVE-۲۰۱۶-۳۲۹۸) بود که از روش مدیریت اشیاء در حافظه ناشی میشد. این شرکت اعلام کرد مهاجم میتواند با هدایت قربانی به یک وبگاه جعلی، از این آسیبپذیری بهرهبرداری کرده و بررسی کند که چه پروندههایی بر روی حافظهی دیسک وجود دارد.
شرکت امنیتی Proofpoint که محققان این شرکت این آسیبپذیری را به مایکروسافت گزارش دادند، میگوید این آسیبپذیری در مقیاس وسیع در پویشهای تبلیغاتی توسط عاملان تهدید با نامهای AdGholas و GooNky مورد بهرهبرداری قرار گرفته است.
محققان ابتدا این آسیبپذیری را به عنوان تهدیدی از طرف پویش تبلیغاتی GooNky بررسی کردند که کاربرانی در فرانسه را هدف قرار داده بود اما آنها بر این باورند که در حال حاضر این آسیبپذیری توسط کمپین AdGholas تقویت شده است.
وقتی که کیت بهرهبرداری Angler ناپدید شد، گروه GooNky به عملیات خود با استفاده از کیت Neutrino ادامه دادند. پس از چند از این مهاجرت، بهرهبرداری جدیدی با شناسهی CVE-۲۰۱۶-۳۲۹۸ به کیت Neutrino اضافه شد.
همین گروهها آسیبپذیری CVE-۲۰۱۶-۳۳۵۱ را نیز مورد بهرهبرداری قرار دادند، آسیبپذیری مشابهی که مرورگر اینترنت اکسپلورر و Edge را تحت تأثیر قرار میداد و ماه گذشته توسط مایکروسافت وصله شد. محققان اشاره میکنند که این آسیبپذیری از سال ۲۰۱۴ در پویشهای تبلیغاتی استفاده میشد.
این دو آسیبپذیری افشای اطلاعات به مجرمان سایبری این امکان را داده است تا مطمئن شوند، سامانهای که هدف قرار دادهاند متعلق به محققان امنیتی نیست.
مهاجمان بررسیهای نوع MIME را نیز انجام دادهاند تا مشخص کنند آیا پروندههای نوع خاصی وجود دارد که محققان از آن استفاده کرده باشند و این پروندهها متعلق به یک نرمافزار خاص باشد. آنها وجود پروندههایی با پسوند py ،.pcap. و saz. را بررسی میکنند و اگر پروندهای پیدا کردند تشخیص میدهند که محیط یک محیط تحلیلی است. در برخی موارد مشاهده شده که مهاجمان وجود پروندههایی با پسوند mkv. و doc. را نیز بررسی کردهاند تا متوجه شوند که آیا سامانه متعلق به یک کاربر عادی است یا خیر.
شرکت Proofpoint در پستی توضیح داده است: «عاملان تهدید به سمت نقصهایی تغییر موضع دادهاند که بیشتر بر روی کاربران سطح بالا همچون محققان، شرکتها و جعبهشنی تمرکز دارد که میتوانند حضور این عاملان را شناسایی و تحلیل کنند. آسیبپذیریهای افشای اطلاعات همچون CVE-۲۰۱۶-۳۲۹۸ و CVE-۲۰۱۶-۳۳۵۱ به مهاجمان این امکان را میدهد تا بسته به نوع برنامههای امنیتی و پیکربندیهای موجود در محیطهای تحقیقات امنیتی، عملیات خود را مسدود کنند.»
آسیبپذیری بحرانی ایجاد شده در Fortinet
عنوان
|
آسیبپذیری بحرانی در Fortinet | ||
تاریخ
|
10/06/1395 | ||
شناسه بین المللی
|
CVE-2016-6909 | ||
سطح خطر
|
|
آسیبپذیری پرخطرایجاد شده در گوشیهای Huawei
عنوان
|
آسیبپذیری پرخطر در گوشیهای Huawei
|
تاریخ
|
09/06/1395
|
شناسه بین المللی
|
CVE-2016-6193
|
سطح خطر
|
|
یک آسیب پذیری پرخطر سرریز بافر در درایور WiFi در تلفن هوشمند Huawei P8 شناسایی شده است. این آسیبپذیری از طریق برنامههای کاربردی ساختگی برای مهاجمین امکان اجرای حمله منع دسترسی و افزایش سطح دسترسی را فراهم مینماید.
نرم افزارهای قبل از نسخه Gra-cl00c92b350 در Huawei P8 smartphone